DNS改ざん攻撃「Roaming Mantis」が進化、日本語を使いiOSも標的に

 
サーバーのDNS設定を改ざんし、Android向けマルウェアをインストールする「Roaming Mantis」と呼ばれる攻撃が進化し、使用言語に日本語を含め、iPhoneなどのiOSデバイスを標的としたフィッシング詐欺や、パソコンを標的とした仮想通貨の採掘を行っている、とセキュリティ企業のカスペルスキーが注意を促しています。

日本語を使い、iOSも標的にした「Roaming Mantis」

カスペルスキーによると、「Roaming Mantis」は、今年4月頃までは、中国や韓国を主な標的として、「トロイの木馬」が仕込まれたAndroid向けマルウェアをインストールする動きを見せていました。
 
しかし5月に入ると「Roaming Mantis」は急激に攻撃を進化させており、日本語を含む27言語を使い、攻撃対象をiOSにも拡大しています。
 
iOSデバイスからのアクセスであることを検知すると、アドレスバーに「http://security.apple.com/」と表示され、Appleの公式Webサイトに見えるページに転送されます。
 

 
しかし、これは巧妙にApple公式サイトを装ったフィッシングサイトで、Apple IDとパスワード、クレジットカード情報などを盗み取ります。
 

PCからアクセスすると仮想通貨を勝手に採掘

パソコンからアクセスした場合は、ブラウザ内で動作するスクリプトによって、仮想通貨の「採掘」を行う「Coinhive」を動作させます。
 
「Coinhive」が動作すると、パソコンのCPU使用率が跳ね上がり、ほかのアプリケーションの動作にも影響を及ぼします。

現時点で「Roaming Mantis」の侵入経路など詳細は不明

カスペルスキーによると、現時点で「Roaming Mantis」がどのようにルータのDNS設定を改ざんしているか、詳しいことは分かっていません。
 
「Roaming Mantis」を拡散させている犯人には、強い金銭的動機があると見られ、現時点で収束の見通しも立っていないようです。
 

「2ファクタ認証」などで自衛策を！

Apple公式サイトを装った巧妙なフィッシング詐欺はこれまでも何度か発生しています。
 
こうして盗み取られたApple IDとパスワードは、二束三文で転売されていることも確認されています。
 
私たちユーザーとしては、「2ファクタ認証」を設定してApple IDを守るほか、メールやメッセージで誘導されるWebページに個人情報を入力しない、などの方法で自衛策を取る必要があります。

 
 
Source:カスペルスキー
(hato)